• Implémentation et administration des objets de stratégie de groupe • Étendue de la stratégie de groupe et traitement de la stratégie de groupe • Dépanner l'application des objets de stratégie de groupe Leçon 1: Présentation de la stratégie de groupe
• Qu'est-ce que la gestion de la configuration ?
• Vue d'ensemble des stratégies de groupe • Avantages de l'utilisation de la stratégie de groupe • Objets de stratégie de groupe • Étendue des objets de stratégie de groupe • Client de stratégie de groupe et extensions côté client • Démonstration : Procédure de création d'un objet de stratégie de groupe et configurer ses paramètres Qu'est-ce que la gestion de la configuration ?
• La gestion de la configuration est une approche
centralisée à appliquer à une ou plusieurs modifications d'un ou plusieurs utilisateurs ou ordinateurs
• Les éléments clés de la gestion de la configuration
sont les suivants : • Paramètre • Étendue • Application Vue d'ensemble des stratégies de groupe
• Le composant le plus précis de la stratégie de
groupe est connu sous le terme « stratégie » et définit une modification de configuration spécifique Un paramètre de stratégie peut avoir trois états : • Non configuré
• Activé
• Désactivé
• Beaucoup de paramètres de stratégie sont
complexes, et leur activation ou désactivation peut avoir des effets peu évidents Avantages de l'utilisation de la stratégie de groupe • Les stratégies de groupe sont des outils d'administration très puissants. Vous pouvez les utiliser pour appliquer divers paramètres à un grand nombre d'utilisateurs et d'ordinateurs • En général, les objets de stratégie de groupe sont utilisés comme suit : • Appliquer les paramètres de sécurité • Gérer les paramètres d'application de bureau • Déployer des applications logicielles • Gérer la redirection de dossiers • Configurer les paramètres réseau Objets de stratégie de groupe
Un objet de stratégie de groupe est :
• Un conteneur pour un ou plusieurs paramètres de stratégie • Géré avec le GPMC • Enregistré dans le conteneur de GPO • Modifié avec le GPME • Appliqué à un niveau spécifique dans la hiérarchie d'AD DS Étendue des objets de stratégie de groupe
• L'étendue d'un objet de stratégie de groupe
désigne l'ensemble des utilisateurs et ordinateurs qui appliqueront les paramètres dans l'objet de stratégie de groupe. Vous pouvez utiliser plusieurs méthodes pour limiter l'étendue d'un objet de stratégie de groupe : • Liez l'objet de stratégie de groupe à un conteneur, tel qu'une unité d'organisation • Filtrez à l'aide des paramètres de sécurité • Filtrez à l'aide des filtres WMI Client de stratégie de groupe et extensions côté client 1. Le client de stratégie de groupe récupère des GPO
2. Le client télécharge et met les GPO en cache
3. Les CSE traitent les paramètres
• Desparamètres de stratégie dans le nœud de
configuration de l'ordinateur sont appliqués au démarrage du système puis toutes les 90 à 120 minutes • Des paramètres de stratégie de configuration utilisateur sont appliqués à l'ouverture de session puis toutes les 90 à 120 minutes Démonstration : Procédure de création d'un objet de stratégie de groupe et configurer ses paramètres
Dans cette démonstration, vous allez
apprendre à : • Utiliser la console GPMC pour créer un nouvel objet de stratégie de groupe • Configurer les paramètres de stratégie de groupe Leçon 2: Implémentation et administration des objets de stratégie de groupe
• Objets de stratégie de groupe basés sur un
domaine • Stockage de l'objet de stratégie de groupe • Objets de stratégie de groupe Starter • Tâches courantes de gestion des objets de stratégie de groupe • Délégation de l'administration des stratégies de groupe • Gestion d'objets de stratégie de groupe avec Windows PowerShell Objets de stratégie de groupe basés sur un domaine. Stockage de l'objet de stratégie de groupe
Conteneur Stratégie de groupe
Objet de stratégie de groupe
• Stocké dans AD DS • Fournit des informations de version
Modèle de stratégie de groupe
• Contient les paramètres de la stratégie de groupe • Enregistre le contenu à deux emplacements • Enregistré dans le dossier partagé SYSVOL • Fournit les paramètres de la stratégie de groupe Objets de stratégie de groupe Starter
Un objet de stratégie de groupe Starter :
• Enregistre les paramètres de modèle d'administration sur lesquels les nouveaux GPO seront basés • Peut être exporté vers des fichiers .cab • Peut être importé dans d'autres domaines de l'entreprise
Exportation vers Importation vers GPMC un fichier cab
Objet de stratégie Charger
fichier .cab de groupe Starter le fichier CAB Tâches courantes de gestion des objets de stratégie de groupe. • GPMC fournit plusieurs options pour gérer l'état des objets de stratégie de groupe Sauvegarder des objets Restaurer des objets de de stratégie de groupe stratégie de groupe
Copier des objets de Importer des objets
stratégie de groupe de stratégie de groupe Délégation de l'administration des stratégies de groupe • La délégation des tâches liées aux objets de stratégie de groupe permet à la charge de travail administrative d'être distribuée à travers l'entreprise • Les tâches de stratégie de groupe suivantes peuvent être déléguées de manière indépendante : • Création d'objets de stratégie de groupe • Modification d'objets de stratégie de groupe • Gestion des liens de stratégies de groupe pour un site, un domaine ou une unité d'organisation • Exécution des analyses de modélisation de stratégie de groupe dans un domaine ou une unité d'organisation • Lecture des données des résultats de stratégie de groupe dans un domaine ou une unité d'organisation • Création de filtres WMI sur un domaine Gestion d'objets de stratégie de groupe avec Windows PowerShell En plus d'utiliser la console de gestion des stratégies de groupe et l'éditeur de gestion des stratégies de groupe, vous pouvez également exécuter des tâches d'administration communes avec des objets de stratégie de groupe à l'aide de Windows PowerShell • Par exemple, la commande suivante crée un nouvel objet de stratégie de groupe intitulé « Ventes » : • New-GPO -Name Sales -commentaire « Voici l'objet de stratégie de groupe Ventes » • La commande suivante importe les paramètres des objets de stratégie de groupe Ventes enregistrés dans le dossier C:\Sauvegardes dans le nouvel objet de stratégie de groupe Ventes : • import-gpo -BackupGpoName Sales -TargetName NewSales - chemin c:\sauvegardes Leçon 3: Étendue de la stratégie de groupe et traitement de la stratégie de groupe • Liaisons des objets de stratégie de groupe • Démonstration : Procédure de liaison des objets de stratégie de groupe • Ordre de traitement de la stratégie de groupe • Configuration de l'héritage et de la priorité de l'objet de stratégie de groupe. • Utilisation du filtrage de sécurité pour modifier l'étendue de groupe • Définition des filtres WMI • Démonstration : Procédure de filtrage des stratégies • Activer ou désactiver les objets de stratégie de groupe et les nœuds d'objet de stratégie de groupe • Traitement de stratégie par boucle de rappel • Considérations pour les liaisons lentes et les systèmes déconnectés • Identification du moment où les paramètres entrent en vigueur Liaisons des objets de stratégie de groupe Démonstration : Procédure de liaison des objets de stratégie de groupe Dans cette démonstration, vous allez apprendre à : • Créer et lier des objets GPO à différents emplacements
• Désactiver une liaison d'objet de stratégie de groupe
• Supprimer une liaison d'objet de stratégie de groupe
Ordre de traitement de la stratégie de groupe
GPO1
Groupe local
GPO2
Site
GPO3
GPO4
Domaine
GPO5 Unité d'organisation
Unité Unité d'organisation d'organisation Configuration de l'héritage et de la priorité de l'objet de stratégie de groupe 1. L'application des objets de stratégie de groupe liés à chaque conteneur a pour conséquence un effet de cumul appelé héritage • Priorité par défaut : Local Site Domaine UO UO… (LSDUO) • Vu sur l'onglet Héritage de stratégie de groupe
2. Ordre des liens (attribut de lien de l'objet de stratégie de groupe)
• Nombre inférieur Plus haut sur la liste Précédent
• Bloque le traitement des objets de stratégie de groupe de niveaux supérieurs
4. Appliqué (attribut de lien de l'objet de stratégie de groupe)
• Les objets de stratégie de groupe « blast through » appliqués bloquent l'héritage • Les paramètres des objets de stratégie de groupe appliqués ont la préséance sur les paramètres en conflit dans des objets de stratégie de groupe de niveau inférieur Utilisation du filtrage de sécurité pour modifier l'étendue de groupe • Autorisation d'appliquer la stratégie de groupe • L'objet de stratégie de groupe a une liste de contrôle d'accès (onglet de délégation Avancé) • Par défaut : utilisateurs authentifiés : autoriser l'application de la stratégie de groupe
• Portée limitée aux utilisateurs de certains groupes globaux
• Supprimer les utilisateurs authentifiés • Ajouter des groupes globaux appropriés • Les groupes doivent être globaux (les objets de stratégie de groupe ne se limitent pas à l'étendue de domaine local)
• Portée limitée aux utilisateurs, à l'exception de ceux appartenant à certains
groupes • Sous l'onglet Délégation, cliquez sur Avancé • Ajouter des groupes globaux appropriés • Refuser l'autorisation d'appliquer la stratégie de groupe • N'apparaît pas sur l'onglet de délégation ou en filtrant la section Définition des filtres WMI Démonstration : Procédure de filtrage des stratégies Dans cette démonstration, vous allez apprendre à : • Filtrer l'application de la stratégie de groupe en utilisant le filtrage des groupes de sécurité • Filtrer l'application de la stratégie de groupe en utilisant le filtrage WMI Activer ou désactiver les objets de stratégie de groupe et les nœuds d'objet de stratégie de groupe Traitement de stratégie par boucle de rappel Considérations pour les liaisons lentes et les systèmes déconnectés Identification du moment où les paramètres entrent en vigueur
• La réplication de l'objet de stratégie de groupe
doit avoir lieu • Les modifications apportées au groupe doivent être répliquées • La stratégie de groupe doit être actualisée • L'utilisateur doit fermer ou ouvrir une session, ou l'ordinateur doit être redémarré • Actualisation manuelle • La plupart de CSE ne réappliquent pas les paramètres de l'objet de stratégie de groupe inchangés Leçon 4: Dépanner l'application des objets de stratégie de groupe
• Actualisation des objets de stratégie de groupe
• Jeu de stratégie résultant • Générer des rapports RSoP • Démonstration : Procédure d'exécution de l'analyse de scénarios avec l'Assistant Modélisation de stratégie de groupe • Examiner les journaux des événements de stratégie Actualisation des objets de stratégie de groupe
• Quand vous appliquez des objets de stratégie de groupe,
souvenez-vous de ce qui suit : • Les paramètres de l'ordinateur s'appliquent au démarrage • Les paramètres utilisateur s'appliquent à la connexion • Les stratégies sont actualisées à intervalles réguliers et configurables • Les paramètres de sécurité sont actualisés au moins toutes les 16 heures • Les stratégies sont actualisées manuellement en utilisant : • La commande Gpupdate • L'applet de commande Windows PowerShell Invoke-Gpupdate • Avec la nouvelle fonctionnalité d'actualisation des stratégies à distance dans Windows Server 2012, vous pouvez actualiser les stratégies à distance Jeu de stratégie résultant
Windows Server 2012 fournit les outils suivants pour effectuer des analyses RSoP :
GPO1
Groupe local
GPO2
Site
L'Assistant Résultats de GPO3
stratégie de groupe GPO4 L'Assistant Modélisation de Domaine stratégie de groupe GPResult.exe Unité GPO5 d'organisation
Unité Unité d'organisation d'organisation Générer des rapports RSoP Démonstration : Procédure d'exécution de l'analyse de scénarios avec l'Assistant Modélisation de stratégie de groupe
Dans cette démonstration, vous allez
apprendre à : • Utiliser GPResult.exe et l'assistant Création de rapport de stratégie de groupe • Utiliser l'assistant Modélisation de stratégie de groupe Examiner les journaux des événements de stratégie Atelier pratique : Implémentation d'une infrastructure de stratégie de groupe • Exercice 1 : Création et configuration d'objets de stratégie de groupe • Exercice 2 : Gestion de l'étendue des objets de stratégie de groupe • Exercice 3 : Vérification de l'application des objets de stratégie de groupe • Exercice 4 : Gestion des objets de stratégie de groupe
Informations d'ouverture de session
Ordinateurs virtuels 22411B-LON-DC1 22411B-LON-CL1 Nom d'utilisateur ADATUM\Administrateur Mot de passe Pa$$w0rd
Durée approximative : 90 minutes
Scénario d'atelier pratique
A. Datum est une société internationale d'ingénierie et de fabrication, dont le siège
social est à Londres, au Royaume-Uni. Un bureau informatique et un centre de données sont situés à Londres pour assister le bureau de Londres et d'autres sites. A. Datum a récemment déployé une infrastructure serveur et client Windows Server 2012
Vous avez été invité à utiliser la stratégie de groupe pour implémenter des paramètres de sécurité standardisés afin de verrouiller des écrans d'ordinateur lorsque les utilisateurs laissent des ordinateurs sans surveillance pendant 10 minutes ou plus. Vous devez également configurer un paramètre de stratégie qui empêche l'accès à certains programmes sur les stations de travail locales
Après un certain temps, il vous a été signalé qu'une application critique échoue au démarrage de l'économiseur d'écran, et un ingénieur vous a demandé d'empêcher que le paramètre ne s'applique à l'équipe d'ingénieurs de recherche qui utilise l'application quotidiennement. Vous avez été invité également à configurer des ordinateurs de la salle de conférence de sorte qu'ils utilisent un délai d'expiration de 45 minutes
Après la création des stratégies, vous devez évaluer le jeu de stratégies résultant pour les utilisateurs dans votre environnement afin de vérifier que l'infrastructure de stratégie de groupe est optimisée et que toutes les stratégies sont appliquées comme prévu Contrôle des acquis et éléments à retenir
• Questions de contrôle des acquis
• Outils • Problèmes courants et conseils relatifs à la résolution des problèmes
